Microsoft Entra ID の認証方法 - OATH トークン

  • [アーティクル]

OATH 時間ベースのワンタイム パスワード (TOTP) は、1 回限りのパスワード (OTP) のコードの生成方法を指定するオープン標準です。 OATH TOTP は、コードを生成するために、ソフトウェアまたはハードウェアを使用して実装できます。 Microsoft Entra ID は、別のコード生成標準である OATH HOTP をサポートしていません。

OATH ソフトウェア トークン

ソフトウェア OATH トークンは、通常、Microsoft Authenticator アプリやその他の認証アプリなどのアプリケーションです。 Microsoft Entra ID は、各 OTP を生成するためにアプリに入力して使用される秘密鍵 (シード) を生成します。

Authenticator アプリは、プッシュ通知を行うように設定されたときに自動的にコードを生成します。これにより、デバイスが接続されていない場合でも、ユーザーにはバックアップがあります。 OATH TOTP を使用してコードを生成するサード パーティ アプリケーションを使用することもできます。

一部の OATH TOTP ハードウェア トークンはプログラミング可能であり、秘密鍵やシードは事前にプログラミングされていません。 これらのプログラミング可能なハードウェア トークンは、ソフトウェア トークンのセットアップ フローから取得した秘密鍵またはシードを使用して設定できます。 顧客は、選択したベンダーからこれらのトークンを購入し、ベンダーのセットアップ プロセスで秘密鍵またはシードを使用することができます。

OATH ハードウェア トークン (プレビュー)

Microsoft Entra ID では、30 秒または 60 秒ごとにコードを更新する OATH-TOTP SHA-1 トークンの使用をサポートしています。 顧客は、選択したベンダーからこれらのトークンを購入できます。 ハードウェア OATH トークンは、Microsoft Entra ID P1 または P2 ライセンスを持つユーザーが使用できます。

重要

プレビューは、Azure グローバル クラウドと Azure Government クラウドでのみサポートされます。

OATH TOTP ハードウェア トークンには、通常、トークンで事前にプログラミングされた秘密鍵 (シード) が付属しています。 これらのキーは、次の手順で説明するように Microsoft Entra ID に入力する必要があります。 秘密鍵は 128 文字に制限されていて、一部のトークンと互換性があるとは限りません。 秘密キーに含めることができるのは、文字 a-z または A-Z と数字 2-7 のみです。また、Base32 でエンコードする必要があります。

再シードできるプログラミング可能な OATH TOTP ハードウェア トークンは、ソフトウェア トークンのセットアップ フローで Microsoft Entra ID に設定することもできます。

OATH ハードウェア トークンはパブリック プレビュー段階でサポートされています。 詳細については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

Screenshot of OATH token management.

トークンを取得したら、コンマ区切り値 (CSV) ファイル形式でアップロードする必要があります。 ファイルには、次の例に示すように、UPN、シリアル番号、秘密鍵、時間間隔、製造元、モデルが含まれている必要があります:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey

Note

CSV ファイルにヘッダー行が含まれていることを確認します。

CSV ファイルとして正しく書式設定されたら、グローバル管理者は Microsoft Entra 管理センターにサインインし、[保護][多要素認証][OATH トークン] の順に移動し、生成した CSV ファイルをアップロードできます。

CSV ファイルのサイズによって異なりますが、この処理には数分間かかることがあります。 [最新の情報に更新] ボタンを選択して、現在の状態を取得します。 ファイルにエラーがある場合、修正するために、エラーが含まれる CSV ファイルをダウンロードできます。 ダウンロードした CSV ファイル内のフィールド名は、アップロードされたバージョンとは異なります。

すべてのエラーが修正されたら、管理者は各キーをアクティブにすることができます。トークンの [アクティブ化] を選択し、トークンに表示されている OTP を入力します。 5 分ごとに最大 200 の OATH トークンをアクティブにできます。

ユーザーは、最大 5 つの OATH ハードウェア トークンまたはいつでも使用されるように構成された認証アプリケーション (Microsoft Authenticator アプリなど) を組み合わせることもできます。 ハードウェア OATH トークンは、リソース テナントのゲスト ユーザーに割り当てることはできません。

重要

各トークンを 1 人のユーザーのみに割り当てるようにしてください。 今後、セキュリティ リスクを防ぐために、複数のユーザーに 1 つのトークンを割り当てるサポートが停止されます。

アップロード処理中のエラーのトラブルシューティング

場合によっては、CSV ファイルのアップロード処理で競合や問題などが発生する可能性があります。 競合や問題が発生した場合は、次のような通知を受け取ります:

Screenshot of upload error example.

エラー メッセージを確認するには、必ず [詳細の表示] を選択 してください。 [ハードウェア トークンの状態] ブレードが開き、アップロードの状態の概要が表示されます。 次の例のように、エラーまたは複数のエラーが発生したことを示します:

Screenshot of hardware token status example.

表示されるエラーの原因を特定するには、表示する状態の横にあるチェック ボックスをオンにして、[ダウンロード] オプションをアクティブにします。 これにより、特定されたエラーを含む CSV ファイルがダウンロードされます。

Screenshot of download status example.

ダウンロードしたファイルの名前 はFailures_filename.csv で、ファイル名 はアップロードされたファイルの名前です。 ブラウザーの既定のダウンロード ディレクトリに保存されます。

この例では、テナント ディレクトリに現在存在しないユーザーとして識別されるエラーを示します。

Screenshot of error reason example.

一覧表示されたエラーに対処したら、正常に処理されるまで CSV をもう一度アップロードします。 各試行の状態情報は 30 日間保持されます。 CSV を手動で削除するには、状態の横にあるチェックボックスをクリックし、必要に応じて [状態の削除] を選択します。

OATH トークン登録の種類を特定する

ユーザーは、mysecruityinfo にアクセスするか、[マイ アカウント] から [セキュリティ情報] を選ぶことで、OATH トークンの登録を管理および追加できます。 OATH トークンの登録がハードウェア ベースかソフトウェア ベースかを区別するために、特定のアイコンが使われます。

トークンの登録の種類 アイコン
OATH ソフトウェア トークン Software OATH token
OATH ハードウェア トークン Hardware OATH token

次のステップ

Microsoft Graph REST API を使用した認証方法の構成の詳細を確認してください。 パスワードなし認証対応の FIDO2 セキュリティ キー プロバイダーについてご確認ください。